A "biztonsági kutató" újradefiniálása

Vélemény

Gyakori vitatéma és megoszlanak a vélemények arról, hogy hogyan kellene közölni a biztonsági sebezhetőségekről szóló információkat. A Verizon biztonsági blogja most a saját meglátását közölte a témában. A blog felteszi a kérdést, hogy hallott-e már valaki "rombolási mérnök"-nek hívni egy terroristát, vagy "zárlakatos"-nak hívni egy tolvajt? Nem. A blog szerint ez azért van, mert más területeken - ellentétben az infosec iparággal - képesek megkülönböztetni a jó fiúkat a rossz fiúktól. Úgy tűnik, hogy egyszerűbb az információ biztonsággal foglalkozó iparágban "biztonsági kutatónak" nevezni mindenkit, függetlenül attól, hogy mit tesz az illető, milyen a viselkedése. Gyakran olvasható a szalagcímekben, hogy a "biztonsági kutató feltörte ezt", vagy a "biztonsági kutató felfedte azt". A Verizon blogja szerint itt az idő tisztába tenni a fogalmakat, pontosabban meghatározni, hogy éppen kiről is van szó. Éppen ezért a Verizon Risk Intelligence új fogalmakat vezet be a kommunikációjában:

  • Security Researcher (biztonsági kutató): Olyan személy, aki azt tanulmányozza, hogy hogyan lehetne a dolgokat biztonságosabbá tenni és/vagy a dolgok miért nem biztonságosak. Teszi ezt annak érdekében, hogy megoldást találjon.
  • Security Practitioner (biztonságot gyakorlatban alkalmazó): Olyan személy, aki a biztonsági kutató által találtakat gyakorlatban alkalmazza annak érdekében, hogy dolgokat még biztonságosabbá tegye.
  • Narcissistic Vulnerability Pimp (önimádó sebezhetőség strici): Olyan személy aki - kizárólag saját egójának fényezésére, dicsőítésére, kielégítésére – kárt okoz az üzleti szférának és a társadalomnak azáltal, hogy felelőtlenül olyan információkat közöl, amelyek a dolgokat kevésbé biztonságossá teszik (illetve növelik a rizikót).
  • Criminal (bűnöző): Olyan személy, aki aktívan, engedély nélkül árt a biztonságnak, vagy szándékosan megteremti a módját annak, hogy mások ezt tehessék.

A blog felkéri azokat, akik belefáradtak már abba, hogy nézzék, ahogy a "bűnözők" megpróbálják magukat legitimként beállítani, hogy csatlakozzanak hozzájuk abban, hogy megkülönböztetik őket az igazi biztonsági kutatóktól.

A részletek itt. A H Security megpróbálta elemezni, hogy mire gondolt a blog szerzője.

( ironcat | 2010. 04. 27., k – 15:02 )

Röviden és egyszerűen:
Security Researcher: A felfedezett biztonsági réseket csak a szoftver gyártójával/készítőjével közli.
Security Vulnerability Pimp: A felfedezett biztonsági réseket nyilvánosságra hozza.
Criminal: A felfedezett biztonsági réseket saját céljaira felhasználja, vagy másoknak -- ugyanilyen célból -- átadja az információt.

Tehát csak a folyamat végén dől el, hogy melyik kategóriába kerül a biztonsági rés felfedezője. A Security Practitioner kilóg a sorból, mert ő maga nem keres biztonsági réseket, viszont mindenki, aki telepíti a biztonsági frissítéseket, ebbe a kategóriába tartozik.

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

( penztar v | 2010. 04. 27., k – 15:31 )

Hello!

A HR bullshit már itt is vastagon felüti a fejét?
Egyébként szerintem minden megítélés kérdése,mert a Criminal is valószínüleg elöszőr forráskód elemzéssel kutat a hiba után ergo akkor security researcher. A különbség a sebezhetőség publikálásában van.
Üdv.

+1:) már jópár évtizede megalkották a hacker és cracker fogalmakat. de valamivel meg kell tölteni a céges blogot. a jövő héten lehetne arról írni, hogy milyen jó lenne ha lennének olyan szabványos programozási nyelvek, amelyeken írt programokat különösebb változtatások nélkül le lehetne fordítani különböző gépi nyelveket beszélő platformokra. merthogy assemblyben ezt nem lehet megcsinálni:D

( agolon | 2010. 04. 27., k – 15:31 )

Charlie Miller melyik?
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

( egeresz | 2010. 04. 27., k – 16:41 )

Dekás = IT biztonsági szakértő

csak dekás van, nincs jófiú. meg rosszfiú. Nincs jó dekás, meg rossz dekás.
Nincs fehér kalap, meg fekete kalap.
Nincsenek cégek, akik "jók" meg stricik/forradalmárok, akik "rosszak".
Cégek vannak, akik egymásnak konkurenciái. Ami az egyiknek jó, az a másiknak rossz. Ha az A cég dekása megvédi az A cég rendszerét a támadásoktól, akkor ezzel a B cégnek kárt okoz. Ha az A cég dekása feltöri a B cég rendszerét, akkor ezzel a B cégnek kárt okoz.

Hol a különbség? Erkölcs, etika vagy jog? Ha egy cia dekás tör egy kínai rendszert, az jó, ha egy kínai kormányzati dekás a nsa-t, akkor ő rossz?

Itt most annyiról van szó, hogy a Verizon gazdasági modelljét hátráltatja a publikus gyengeség-lista és szájkarate módszerével megpróbál hátrányt okozni azoknak a cégeknek, akiket (vele ellentétben) segít egy publikus gyengeség-lista.

Hmm megtaláltam, de rég is volt...

"Deckers, who are experts at manipulating futuristic computer networks, and use direct neural links via cyberdecks to interface with these computers in a fully immersive virtual reality; Riggers who augment their brains to achieve fine control over vehicles and drones;" [1]

_________________________
Linux for human lemmings

( danesdzsu | 2010. 04. 28., sze – 08:42 )

Azt hogy hívják, aki azt ismételgeti: Nem biztonsági hiba! Nem biztonsági hiba!

:)

( xclusiv v | 2010. 04. 28., sze – 14:48 )

Hát, ennek nincs sok értelme.

Aki bűncselekményt követ el az bűnöző. Akár Charlie Miller, akár a script kiddie szomszéd Pistike.

Aki meg nem, az nem. Szerintem ennyire egyszerű.